Moduly pro manuální penetrační testování webové aplikace
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
C
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Cieľom práce bolo vytvorenie modulu pre program Burp Suite, vďaka ktorému bude možná výmena dát medzi Burp Suite a inými automatizovanými nástrojmi. Súčasťou práce bol aj vývoj webovej aplikácie zobrazujúcej informácie o nálezoch. V kapitole dva sa nachádza analýza nástrojov, s ktorými sa penetračný testeri bežne stretávajú a s ktorými by mohol modul spolupracovať. Ako programovacie jazyky boli použité Java a JavaScript. Vytvorený modul umožňuje prijímanie dát a ich vkladanie do modulov ako Repeater, Intruder, Scanner. Ďalej modul umožňuje odosielanie dát obsiahnutých v Burp Suite, napr. proxy históriu, sitemapu alebo informácie onálezoch externým klientom vo formáte JSON pre ďalšie spracovanie. Pri vývoji Webovej aplikácie bola použitá JavaScriptová knižnica React. Webová aplikácia slúži ako informačný panel s grafickou vizualizáciou nálezov.
The main goal of this master's thesis was development of Burp Suite extension capable of interacting with various other automated tools, accompanied with development of a web application. Chapter two contains analysis of tools commonly used in penetration testing that could benefit from the ability to share Burp Suites data or functionality. The programming languages used were Java and JavaScript. The extension acts as a gateway to inner functionality of Burp Suite. It enables exfiltration of in memory objects such as sitemap, proxy history or found issues in JSON format to other tools, and also listens for incoming data that can be inserted into it's existing modules such as Repeater, Scanner, Spider or Comparer. Frontend application was written using JavaScript library React. The web application offers a graphical visualization of issue data.
The main goal of this master's thesis was development of Burp Suite extension capable of interacting with various other automated tools, accompanied with development of a web application. Chapter two contains analysis of tools commonly used in penetration testing that could benefit from the ability to share Burp Suites data or functionality. The programming languages used were Java and JavaScript. The extension acts as a gateway to inner functionality of Burp Suite. It enables exfiltration of in memory objects such as sitemap, proxy history or found issues in JSON format to other tools, and also listens for incoming data that can be inserted into it's existing modules such as Repeater, Scanner, Spider or Comparer. Frontend application was written using JavaScript library React. The web application offers a graphical visualization of issue data.
Description
Citation
HERIBAN, R. Moduly pro manuální penetrační testování webové aplikace [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2021.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
bez specializace
Comittee
doc. Ing. Václav Zeman, Ph.D. (předseda)
doc. Ing. Jan Jeřábek, Ph.D. (místopředseda)
JUDr. Mgr. Jakub Harašta, Ph.D. (člen)
Ing. Zdeněk Martinásek, Ph.D. (člen)
Mgr. Ing. Pavel Šeda (člen)
Date of acceptance
2021-06-08
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky.
Student obhájil diplomovou práci s výhradami a odpověděl na otázky členů komise a oponenta.
Byla implementována možnost poslání parametru z FE části aplikace do Burp Suite? - student dostatečně vysvětlil otázku.
Můžete prezentovat funkčnost frondend části aplikace? - student dostatečně vysvětlil otázku.
Z jakého důvodu nebyla posána kompilace a instalace aplikace? - student dostatečně vysvětlil otázku.
Jak je výsledek využitelný v praxi? - student dostatečně vysvětlil otázku.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení